Upgrade to Pro — share decks privately, control downloads, hide ads and more …

パスキーでのログインを 実装してみよう!

HIBIKI CUBE
March 22, 2025
Technology
0
340

パスキーでのログインを 実装してみよう!

皆さんはパスキーと聞いて何を思い浮かべますか?
なんか新しいすごいやつ、パスワードがいらないやつ、顔認証するやつ、デバイス間で同期してくれる、公開鍵暗号、チャレンジ………

このトークでは、近年GoogleやGitHubなど主要なWebサービスでも採用されてきている新しいユーザー認証方法「パスキー」に入門します。

パスキーとは何か
パスキーで何ができるのか
なぜパスキーが推されているのか
従来のユーザー認証と何が違うのか
などのような基本的な部分から、

パスキーでログインをするために必要な実装
パスキーを実装する上での注意点
パスキーを運用する上での注意点
など発展的な部分まで、一通りパスキーでの認証ができるようになるレベルを網羅します。

このトークがお勧めな人

パスキーに興味がある人
ID / パスワードによる認証とさよならしたい人
よりセキュアなユーザー認証を実現したい人
このトークで得られること

パスキーの仕組みの理解
パスキーの実装方法
パスキーの運用のあれこれ

HIBIKI CUBE

March 22, 2025
Tweet

More Decks by HIBIKI CUBE

See All by HIBIKI CUBE
今日からできる! はじめてのパスキー認証
hibiki_cube
1
110
ここがおもろい! Swift UI
hibiki_cube
1
59
SvelteKit × Supabaseで オレオレカンバンボード作ってみた
hibiki_cube
2
82

Other Decks in Technology

See All in Technology
AWSにおけるサイバー攻撃の傾向と具体的な対策
yuobayashi
8
770
大人の学び - マイクの持ち方について
kawaguti
PRO
3
670
사이드 프로젝트를 20번 실패한 주니어의 오답노트 훔쳐보기(feat. KMP)
yjyoon
0
560
生成AIで生産性向上
tomuro
0
230
PHPでアクターモデルを活用したSagaパターンの実践法 / php-saga-pattern-with-actor-model
ytake
0
660
PHPStan をできる限り高速化してみる
colopl
0
210
【Oracle Cloud ウェビナー】VMware環境を短期間でクラウド化!ベネッセ様事例に学ぶ仮想環境クラウド移行のリアル
oracle4engineer
PRO
2
110
VISITS_20250311_こねくとあいとりおす.pdf
iotcomjpadmin
0
120
OPENLOGI Company Profile
hr01
0
61k
UDDのすすめ
maguroalternative
0
600
単一の深層学習モデルによる不確実性の定量化の紹介 ~その予測結果正しいですか?~
ftakahashi
PRO
3
470
SLI/SLO・ラプソディあるいは組織への適用の旅
nwiizo
4
660

Featured

See All Featured
How GitHub (no longer) Works
holman
314
140k
Gamification - CAS2011
davidbonilla
80
5.2k
For a Future-Friendly Web
brad_frost
176
9.6k
The Cult of Friendly URLs
andyhume
78
6.3k
Statistics for Hackers
jakevdp
797
220k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.1k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
176
52k
It's Worth the Effort
3n
184
28k
A designer walks into a library…
pauljervisheath
205
24k
Visualization
eitanlees
146
15k
Large-scale JavaScript Application Architecture
addyosmani
511
110k
Into the Great Unknown - MozCon
thekraken
35
1.7k

Transcript

  1. パスキーでのログインを 実装してみよう! HIBIKI CUBE @ PHPerKaigi 2025

  2. ぜひいっぱいツイートしてください! #phperkaigi #b

  3. 󰎩󰑔󰏮 自己紹介 ヒビキ @hibiki_cube

  4. PHPerKaigi、ただいま〜〜〜〜!!

  5. パスキーでのログインを 実装してみよう! HIBIKI CUBE @ PHPerKaigi 2025

  6. パスキーでのログインを 実装してみよう! HIBIKI CUBE @ PHPerKaigi 2025

  7. 何らかのログインを 実装したことがある という方!

  8. パスキーでのログインを 実装したことがある という方!

  9. 実は今回………

  10. 実は今回……… この発表のために デモ環境を ご用意しています!

  11. とりあえず触ってみましょう phperkaigi-2025-try-passkey.hibiki-cube.dev

  12. とりあえず触ってみましょう

  13. いま使って分かったパスキーの特徴2つ • Touch IDやFace IDなどの生体認証により本人確認 • ユーザーは何も入力せずにログインできる

  14. いま使って分かったパスキーの特徴2つ • Touch IDやFace IDなどの生体認証により本人確認 • ユーザーは何も入力せずにログインできる → ユーザーは何も覚える必要がない

  15. いま使って分かったパスキーの特徴2つ • Touch IDやFace IDなどの生体認証により本人確認 • ユーザーは何も入力せずにログインできる → ユーザーは何も覚える必要がない →

    人間起因のセキュリティリスクを極力減らせる

  16. パスキーの特徴 • 生体認証とセットで動作 • ログイン時に入力するものは何もなし • サイトとパスキーが紐づく仕組み • 公開鍵暗号の仕組みを使った認証 •

    機密性のある情報は暗号化されて守られる Passkeys

  17. パスキーの特徴 • 生体認証とセットで動作 • ログイン時に入力するものは何もなし • サイトとパスキーが紐づく仕組み • 公開鍵暗号の仕組みを使った認証 •

    機密性のある情報は暗号化されて守られる Passkeys

  18. 公開鍵暗号で認証する仕組み

  19. 公開鍵暗号で認証する仕組み

  20. 公開鍵暗号で認証する仕組み 秘密鍵 公開鍵

  21. 公開鍵暗号で認証する仕組み 秘密鍵 公開鍵 俺の鍵持っといて

  22. 公開鍵暗号で認証する仕組み 秘密鍵 公開鍵 (なにこの鍵)

  23. 公開鍵暗号で認証する仕組み 秘密鍵 公開鍵 ログインしたいな

  24. 公開鍵暗号で認証する仕組み 秘密鍵 公開鍵 ログインしたいな じゃあこの問題を 解いてみな

  25. 公開鍵暗号で認証する仕組み 秘密鍵 公開鍵 秘密鍵で 署名したよ

  26. 公開鍵暗号で認証する仕組み 秘密鍵 公開鍵 秘密鍵で 署名したよ 確かに正しい鍵だ 通ってよし!

  27. 余談: パスキーはSSHに似てる? SSH パスキー ユーザーがキーを生成・転送 登録の仕組み システムがキーを生成・転送 なし ログイン時にすること 認証操作

    公開鍵と秘密鍵の一致 認証の根拠 公開鍵と秘密鍵の一致 ❌ なし 本人確認 ✅ あり

  28. 従来のパスワード認証とパスキーを比較

  29. 従来のパスワード認証とパスキーを比較 パスワード パスキー IDとパスワードの作成 登録時にすること ユーザー名の入力 IDとパスワードの入力 ログイン時にすること 認証操作 IDとパスワードの一致

    認証の根拠 公開鍵と秘密鍵の一致 ❌ なし 本人確認 ✅ あり ⚠ 危険性あり 機密情報の漏洩 ✅ 難しい ⚠ 低い フィッシングへの耐性 ✅ あり

  30. パスキー認証に必要なユーザー操作 プロンプトを確認して 生体認証するだけ

  31. 従来のパスワード認証とパスキーを比較 パスワード パスキー IDとパスワードの作成 登録時にすること ユーザー名の入力 IDとパスワードの入力 ログイン時にすること 認証操作 IDとパスワードの一致

    認証の根拠 公開鍵と秘密鍵の一致 ❌ なし 本人確認 ✅ あり ⚠ 危険性あり 機密情報の漏洩 ✅ 難しい ⚠ 低い フィッシングへの耐性 ✅ あり

  32. フィッシングを防ぐ仕組み • 各パスキーはRP IDでサービスに紐づいている • パスキーと対応するオリジンでないと使えない • どんなに見た目を似せたサイトでも、パスキーを使うことは不可能 HIBIKI @

    Google google.com 🔒goo9le.com

  33. 従来のパスワード認証とパスキーを比較 パスキーなら、よりセキュアな認証を実現できる🚀 パスワード パスキー IDとパスワードの作成 登録時にすること ユーザー名の入力 IDとパスワードの入力 ログイン時にすること 認証操作

    IDとパスワードの一致 認証の根拠 公開鍵と秘密鍵の一致 ❌ なし 本人確認 ✅ あり ⚠ 危険性あり 機密情報の漏洩 ✅ 難しい ⚠ 低い フィッシングへの耐性 ✅ あり

  34. パスキーは運営側も嬉しい パスワード パスキー IDとパスワードを保存 登録時にすること ユーザー名と公開鍵の保存 IDとパスワードの検証 ログイン時にすること チャレンジの検証 パスワードのハッシュ

    保持するもの 公開鍵 パスワードのハッシュ 通信経路を流れるもの 署名されたチャレンジ ハッシュを破られると…? 情報漏洩のリスク 公開鍵は漏れても大丈夫 ⚠ 可能 認証情報の使い回し ✅ 不可能

  35. 実際に実装するには

  36. 有名どころはパスキー対応済み!

  37. もちろんPHP用のサーバーサイドライブラリもあります!

  38. 必要なもの フロントエンド • 登録やログインのためのUI • APIとやり取りする仕組み • デバイスの認証機とやり取りする仕組み バックエンド •

    ユーザーとパスキーを管理するDB • チャレンジを発行するAPI • 署名されたチャレンジを検証するAPI • セッションを管理する仕組み

  39. ユーザーとパスキーを管理するDB

  40. 実装上・運用上の注意

  41. パスキーを実装する上で気にすること • フォームの設計 • 既存のユーザーID / パスワード認証との共存 • autocompleteを適切に設定すると嬉しい <input

    type="text" name="username" autocomplete="username webauthn" placeholder="ユーザー名" />

  42. パスキーを運用する上で気にすること • パスキーにまだ慣れていないユーザーへの対応 • パスキーを紛失したときの対応 ◦ パスワードで再設定できるようにする? ◦ 復旧コードなどを事前に発行しておく? ◦

    マジックリンクで復旧できるようにする? • 他の選択肢が多ければ、それだけセキュリティの弱みも増える

  43. Passkeyと仲良く!